WyrmSpy 移动恶意软件

多产的中国支持的民族国家攻击者 APT41 最近与发现两种以前未记录的 Android 间谍软件（即 WyrmSpy 和DragonEgg）有关。 APT41 以其在利用面向网络的应用程序和渗透传统端点设备方面的专业知识而闻名。

通过将恶意软件库扩展到包括移动设备， APT 41清楚地表明了移动端点作为保存令人垂涎的企业和个人数据的高价值目标的重要性。这凸显了保护移动设备免受 APT 41 等既定威胁行为者造成的复杂威胁的重要性日益增加。

WyrmSpy 可能已被网络犯罪分子使用多年

网络犯罪组织 APT41 也被称为 Axiom、Blackfly、Brass Typhoon（以前称为 Barium）、Bronze Atlas、HOODOO、Wicked Panda 和 Winnti 等各种名称，该组织至少自 2007 年以来一直在运作，在网络环境中表现出持久的存在。这个复杂的威胁行为者一直针对各个行业，目的是窃取知识产权和敏感信息。

最近，APT41 一直负责使用名为 Google Command and Control (GC2) 的开源红队工具发起攻击。这些攻击专门针对台湾和意大利的媒体和工作平台，展示了该组织不断变化的策略和目标。

至于他们的移动监控软件活动，最初入侵的确切方法仍未公开，但有人怀疑他们使用了社会工程技术。 WyrmSpy 早在 2017 年就首次被发现，表明该组织在移动领域长期持续活动。随后，DragonEgg 在 2021 年初被识别，并且最近在 2023 年 4 月观察到了该恶意软件的新样本，强调了 APT41 构成的持续威胁。

WyrmSpy Android 恶意软件中发现的威胁功能

WyrmSpy 通过将自己伪装成负责显示用户通知的默认系统应用程序来采用欺骗策略。在后来的变体中，该恶意软件已嵌入到冒充成人视频内容的应用程序、百度外卖和 Adobe Flash 中。值得注意的是，没有证据表明这些流氓应用程序曾经通过官方 Google Play 商店分发。 WyrmSpy 所针对的受害者的确切数量仍不清楚。

WyrmSpy 和 APT41 之间的连接通过使用 IP 地址为 121[.]42[.]149[.]52 的命令与控制 (C2) 服务器变得显而易见。此 IP 地址对应于先前与 APT41 组的基础设施关联的域“vpn2.umisen[.]com”。

成功安装后，WyrmSpy 会请求侵入权限，从而允许威胁在受感染的 Android 设备上执行复杂的数据收集和渗透活动。该恶意软件能够收集敏感的用户信息，包括照片、位置数据、短信和录音。

WyrmSpy 还通过利用从 C2 服务器下载的模块展示了其适应性。这种方法允许恶意软件增强其数据收集能力，同时逃避检测。

此外，WyrmSpy 显示了高级功能，因为它可以禁用安全增强型 Linux (SELinux)，这是 Android 操作系统中的一项安全功能。此外，它还利用 KingRoot11 等 root 工具来获取受感染移动设备的提升权限。